Наша политика в отношении вредоносного ПО проста: экосистема Android, включая Google Play Store, и пользовательские устройства не должны иметь вредоносного поведения (например, вредоносного ПО). Благодаря этому основополагающему принципу мы стремимся обеспечить безопасную экосистему Android для наших пользователей и их устройств Android.
Вредоносное ПО — это любой код, который может подвергнуть риску пользователя, его данные или устройство. Вредоносное ПО включает в себя, помимо прочего, потенциально вредные приложения (PHA), двоичные файлы или модификации инфраструктуры, состоящие из таких категорий, как трояны, фишинговые и шпионские приложения, и мы постоянно обновляем и добавляем новые категории.
Несмотря на разнообразие типов и возможностей, вредоносное ПО обычно преследует одну из следующих целей:
- Нарушить целостность устройства пользователя.
- Получите контроль над устройством пользователя.
- Включите операции удаленного управления, чтобы злоумышленник мог получить доступ, использовать или иным образом эксплуатировать зараженное устройство.
- Передавать личные данные или учетные данные с устройства без надлежащего раскрытия и согласия.
- Распространять спам или команды с зараженного устройства, чтобы повлиять на другие устройства или сети.
- Обмануть пользователя.
Модификация приложения, двоичного файла или платформы может быть потенциально опасной и, следовательно, может привести к вредоносному поведению, даже если она не была предназначена для нанесения вреда. Это связано с тем, что приложения, двоичные файлы или модификации платформы могут функционировать по-разному в зависимости от множества переменных. Таким образом, то, что вредно для одного устройства Android, может вообще не представлять опасности для другого устройства Android. Например, на устройство с последней версией Android не влияют вредоносные приложения, использующие устаревшие API для вредоносного поведения, но устройство, на котором все еще работает очень ранняя версия Android, может подвергаться риску. Приложения, двоичные файлы или модификации платформы помечаются как вредоносные или PHA, если они явно представляют угрозу для некоторых или всех устройств Android и пользователей.
Приведенные ниже категории вредоносного ПО отражают наше основополагающее убеждение в том, что пользователи должны понимать, как используется их устройство, и способствовать созданию безопасной экосистемы, которая обеспечивает надежные инновации и надежный пользовательский опыт.
Категории вредоносных программ
Бэкдоры
Код, который позволяет выполнять на устройстве нежелательные, потенциально опасные операции с дистанционным управлением.
Эти операции могут включать в себя поведение, которое при автоматическом выполнении помещает приложение, двоичный файл или модификацию платформы в одну из других категорий вредоносного ПО. В общем, бэкдор — это описание того, как на устройстве может произойти потенциально опасная операция, и поэтому он не полностью соответствует таким категориям, как мошенничество с выставлением счетов или коммерческое шпионское ПО. В результате подмножество бэкдоров при некоторых обстоятельствах рассматривается Google Play Protect как уязвимость.
Мошенничество с выставлением счетов
Код, автоматически взимающий плату с пользователя намеренно вводящим в заблуждение способом.
Мошенничество с мобильными счетами подразделяется на мошенничество с SMS, мошенничество со звонками и мошенничество с междугородными звонками.
СМС-мошенничество
Код, который взимает с пользователей плату за отправку платных SMS без согласия или пытается замаскировать свою SMS-деятельность, скрывая соглашения о раскрытии информации или SMS-сообщения от мобильного оператора, уведомляющие пользователя о платежах или подтверждающие подписку.
Некоторые коды, хотя технически раскрывают поведение отправки SMS, вводят дополнительное поведение, позволяющее предотвратить мошенничество с SMS. Примеры включают сокрытие частей соглашения о раскрытии информации от пользователя, делая их нечитаемыми и условное подавление SMS-сообщений от мобильного оператора, информирующих пользователя о платежах или подтверждающих подписку.
Мошенничество при вызове
Код, который взимает с пользователей плату за звонки на платные номера без согласия пользователя.
Мошенничество с платными дорогами
Код, который обманным путем заставляет пользователей подписываться на контент или покупать контент через счет мобильного телефона.
Платное мошенничество включает в себя любые виды выставления счетов, кроме платных SMS и платных звонков. Примеры этого включают прямое выставление счетов оператору связи, точку беспроводного доступа (WAP) и передачу мобильного эфирного времени. WAP-мошенничество является одним из наиболее распространенных видов мошенничества с междугородными звонками. WAP-мошенничество может включать в себя обман пользователей с целью заставить их нажать кнопку на незаметно загружаемом прозрачном WebView. После выполнения действия инициируется повторяющаяся подписка, а подтверждающее SMS или электронное письмо часто перехватываются, чтобы пользователи не заметили финансовую транзакцию.
Сталкерварь
Код, который собирает личные или конфиденциальные данные пользователя с устройства и передает данные третьей стороне (предприятию или другому физическому лицу) для целей мониторинга.
Приложения должны обеспечивать адекватное раскрытие информации и получать согласие, как того требует политика в отношении пользовательских данных.
Приложения, разработанные и продаваемые исключительно для мониторинга других лиц, например, родителей для наблюдения за своими детьми или руководства предприятия, для мониторинга отдельных сотрудников, при условии, что они полностью соответствуют требованиям, описанным далее в этом документе, являются единственными приемлемыми приложениями для мониторинга. Эти приложения нельзя использовать для отслеживания кого-либо еще (например, супруга), даже с его ведома и разрешения, независимо от того, отображается ли постоянное уведомление. Эти приложения должны использовать флаг метаданных IsMonitoringTool в своем файле манифеста, чтобы соответствующим образом обозначить себя как приложения для мониторинга.
Приложения для мониторинга должны соответствовать следующим требованиям:
- Приложения не должны представлять собой средства шпионажа или тайного наблюдения.
- Приложения не должны скрывать или маскировать поведение отслеживания или пытаться ввести пользователей в заблуждение относительно таких функций.
- Приложения должны постоянно предоставлять пользователям постоянное уведомление, когда приложение работает, а также уникальный значок, который четко идентифицирует приложение.
- Приложения должны раскрывать функции мониторинга или отслеживания в описании магазина Google Play.
- Приложения и их списки в Google Play не должны предоставлять никаких средств для активации или доступа к функциям, которые нарушают эти условия, например, ссылки на несоответствующий APK-файл, размещенный за пределами Google Play.
- Приложения должны соответствовать всем применимым законам. Вы несете единоличную ответственность за определение легальности вашего приложения в целевом регионе.
Дополнительную информацию см. в статье Справочного центра «Использование флага isMonitoringTool» .
Отказ в обслуживании (DoS)
Код, который без ведома пользователя выполняет атаку типа «отказ в обслуживании» (DoS) или является частью распределенной DoS-атаки на другие системы и ресурсы.
Например, это может произойти из-за отправки большого количества HTTP-запросов, что приводит к чрезмерной нагрузке на удаленные серверы.
Враждебные загрузчики
Код, который сам по себе не является потенциально опасным, но загружает другие PHA.
Код может быть враждебным загрузчиком, если:
- Есть основания полагать, что он был создан для распространения PHA и загружал PHA или содержал код, позволяющий загружать и устанавливать приложения; или
- Не менее 5% загружаемых им приложений являются PHA с минимальным порогом в 500 наблюдаемых загрузок приложений (25 наблюдаемых загрузок PHA).
Основные браузеры и приложения для обмена файлами не считаются вредоносными загрузчиками, если:
- Они не увеличивают количество загрузок без взаимодействия с пользователем; и
- Все загрузки PHA инициируются пользователем, давшим согласие.
Угроза, не связанная с Android
Код, содержащий угрозы, не связанные с Android.
Эти приложения не могут причинить вред пользователю или устройству Android, но содержат компоненты, потенциально опасные для других платформ.
Фишинг
Код, который якобы получен из надежного источника, запрашивает учетные данные для аутентификации пользователя или платежную информацию и отправляет данные третьей стороне. Эта категория также относится к коду, который перехватывает передачу учетных данных пользователя в пути.
Распространенными целями фишинга являются банковские учетные данные, номера кредитных карт и учетные данные онлайн-аккаунтов для социальных сетей и игр.
Злоупотребление повышенными привилегиями
Код, который ставит под угрозу целостность системы, нарушая изолированную программную среду приложения, получая повышенные привилегии или изменяя или отключая доступ к основным функциям, связанным с безопасностью.
Примеры включают в себя:
- Приложение, которое нарушает модель разрешений Android или крадет учетные данные (например, токены OAuth) из других приложений.
- Приложения, которые злоупотребляют функциями, чтобы предотвратить их удаление или остановку.
- Приложение, которое отключает SELinux.
Приложения для повышения привилегий, которые рутируют устройства без разрешения пользователя, классифицируются как рутирующие приложения.
программы-вымогатели
Код, который берет на себя частичный или обширный контроль над устройством или данными на устройстве и требует, чтобы пользователь произвел платеж или выполнил действие для освобождения контроля.
Некоторые программы-вымогатели шифруют данные на устройстве и требуют оплату за расшифровку данных и/или использование функций администратора устройства, чтобы обычный пользователь не мог их удалить. Примеры включают в себя:
- Блокировка пользователя на его устройстве и требование денег за восстановление контроля над пользователем.
- Шифрование данных на устройстве и требование оплаты якобы за расшифровку данных.
- Использование функций диспетчера политик устройств и блокировка удаления пользователем.
Код, распространяемый вместе с устройством, основной целью которого является субсидированное управление устройством, может быть исключен из категории программ-вымогателей при условии, что он успешно соответствует требованиям по безопасной блокировке и управлению, а также адекватным требованиям к раскрытию информации и согласию пользователей.
Укоренение
Код, который рутирует устройство.
Существует разница между невредоносным и вредоносным корневым кодом. Например, приложения для рутирования заранее сообщают пользователю, что они собираются рутировать устройство, и не выполняют других потенциально вредных действий, применимых к другим категориям PHA.
Вредоносные приложения для рутирования не информируют пользователя о том, что они собираются рутировать устройство, или заранее информируют пользователя о рутировании, но также выполняют другие действия, применимые к другим категориям PHA.
Спам
Код, который отправляет нежелательные сообщения контактам пользователя или использует устройство в качестве рассылки спама по электронной почте.
Шпионское ПО
Шпионское ПО — это вредоносное приложение, код или поведение, которое собирает, похищает или передает данные пользователя или устройства, не связанные с функциональностью, соответствующей политике.
Вредоносный код или действия, которые можно рассматривать как шпионаж за пользователем или хищение данных без надлежащего уведомления или согласия, также считаются шпионским ПО.
Например, нарушения со стороны шпионского ПО включают, помимо прочего:
- Запись звука или запись звонков, сделанных на телефон
- Кража данных приложения
- Приложение с вредоносным сторонним кодом (например, SDK), которое передает данные с устройства неожиданным для пользователя способом и/или без надлежащего уведомления или согласия пользователя.
Троянская программа
Код, который выглядит безобидным, например игра, которая выдает себя за игру, но выполняет нежелательные действия против пользователя.
Эта классификация обычно используется в сочетании с другими категориями PHA. Троян имеет безобидный компонент и скрытый вредоносный компонент. Например, игра, которая отправляет премиум-СМС с устройства пользователя в фоновом режиме и без ведома пользователя.
Примечание о необычных приложениях
Новые и редкие приложения могут быть классифицированы как необычные, если Google Play Protect не располагает достаточной информацией, чтобы признать их безопасными. Это не означает, что приложение обязательно вредно, но без дальнейшей проверки его нельзя признать безопасным.
Масочная посуда
Приложение, которое использует различные методы уклонения для предоставления пользователю других или поддельных функций приложения. Эти приложения маскируются под законные приложения или игры, чтобы казаться безобидными для магазинов приложений, и используют такие методы, как запутывание, динамическая загрузка кода или маскировка, для выявления вредоносного контента.
Маскирующее ПО похоже на другие категории PHA, в частности на трояны, с основным отличием в методах, используемых для сокрытия вредоносной активности.
Нежелательное мобильное программное обеспечение (MUwS)
Google определяет нежелательное программное обеспечение (UwS) как приложения, которые не являются строго вредоносными программами, но наносят вред экосистеме программного обеспечения. Нежелательное мобильное программное обеспечение (MUwS) выдает себя за другие приложения или собирает хотя бы одно из следующего без согласия пользователя:
- Номер телефона устройства
- Основной адрес электронной почты
- Информация об установленных приложениях
- Информация о сторонних аккаунтах
MUwS отслеживается отдельно от вредоносного ПО. Посмотреть категории MUwS можно здесь .
Предупреждения Google Play Protect
Когда Google Play Protect обнаруживает нарушение политики в отношении вредоносного ПО, пользователю отображается предупреждение. Строки предупреждений для каждого нарушения доступны здесь .